安全春季清洁:整理凌乱的防火墙规则以减少复杂性

安全春季清洁大多数安全团队正在向复杂的IT基础架构,先进恶意软件和严重发动日常战斗。 技能短缺 - 一个迫使他们解决“优先事项”的三十分之一,同时让其他重要举措落在路边。

一个这样的任务通常落到安全“待办事项”列表的底部是防火墙规则清理。有了这么多景点(管理下一代架构和打击复杂的网络罪犯,例如很少有资源可以帮助,很容易理解安全团队如何将防火墙管理视为琐碎的苦差事。但是,它实际上是一个关键的。

防火墙被实施以控制访问。在每个防火墙的核心,是由旨在执行允许访问的规则的策略。虽然有风险与任何访问相关的风险,但通过限制允许的访问,组织可以加强其风险状况。但是,可怜的防火墙管理可以产生相反的效果。

随着导致的防火墙规则的数量(在某些企业中思考成千上万) - 由于不断发展的威胁,遵守规则,云计算和先进技术(例如微分和软件定义的网络 - 可怜的防火墙卫生可以迅速导致混乱乱七八糟的规则,过时,未使用,冗余或不合规。

由于两个主要问题,防火墙政策错误也是常见的:相关的复杂性和过度访问。毫不奇怪,防火墙的复杂性与相关政策中的错误次数之间存在强烈的相关性。和过度的访问是非常常见的(并且最常见的是无意)的三个原因:

无效的变革管理 - 在不考虑业务风险的情况下进行更改,或者如何基于当前策略最佳实施它们。

糟糕的业务需求定义 - 更改请求通常缺乏围绕该请求背后的业务目标的上下文。善意的安全管理员尽最大努力基于他们拥有的信息来限制访问,但通常最终创建了满足业务需求的广泛访问规则(“任何”),以及时访问,但缺乏安全卫生。

滞纳金 - 大多数组织都有完善的方法和程序,用于向防火墙添加规则,但很少有用于删除不再为合法的经营目的提供的规则的策略 - 导致未使用的规则飙升。事实上,我们发现,在一个典型的组织中,没有使用40-50%的防火墙规则。

添加了这个全部,你留下了不仅在控制访问权限下无效的防火墙策略,而且导致错误配置,性能下降,不必要的风险和合规性空白 - 所有这些都可以推动运营成本,因为防火墙管理员尝试管理复杂的防火墙并正确的政策错误。

我们现在正在盛开的春天,并且没有更好的时间优先考虑防火墙规则清理。以下是帮助您摆脱安全控制杂乱,降低复杂性并改善防火墙规则管理的四个建议,同时加强您在此过程中的安全姿势:

1.删​​除规则中的技术错误

防火墙政策中的技术错误是可以被识别为无效或不正确的规则,或者那些不服务于商业目的的规则。技术错误的主要示例是隐藏规则,包括冗余和阴影规则。两者都是防火墙永远不会评估的规则(或规则部分),因为先前的规则将匹配传入流量。两者之间的差异是冗​​余规则具有与隐藏它的规则相同的操作,并且遮蔽规则具有相反的动作。

删除隐藏规则是一个非常低的风险变化,因为删除后,防火墙行为没有变化。换句话说,隐藏规则根据定义,从不将由防火墙进行评估,因此删除它们对策略行为没有影响。但是,识别隐藏规则不是琐碎的任务。典型的企业防火墙的纯粹规模和复杂性使得手动执行太难以表现,许多组织转向自动化分析,这可以极大地帮助准确,完整地识别,并将这种艰苦的过程变为简单的过程。

2.删除未使用的访问

未使用的访问规则填充防火墙策略,导致混淆和错误。确定规则使用,分析和将活动策略与网络流量模式相关联。在持续的时期这样做将明确地显示使用哪些规则,哪些规则不是。未使用的规则的识别和删除不仅可以降低政策复杂性,而且还增加了整体安全姿势和援助方面的合规举措。

3.审查规则和精炼访问

规则审查是一种绝对必要的,确保防火墙策略有效地控制访问。删除错误是一个很棒的第一步。删除未使用的访问是一个很好的下一步。但是,使用规则的简单决定并不意味着它是必要的。规则应对已定义的业务需求进行合理 - 以及对该规则的需求必须超过其所带来的风险。如果没有,则应提取访问。

从雇用“任何”的规则开始,因为这些可能呈现最大的风险。正如我们所讨论的,由于业务需求定义不佳,通常会使用过多的访问来创建这些规则。炼油广泛的访问规则仅包括必要的访问可能对防火墙管理和安全性产生重大影响。

4.不断监控政策

维护有效,有效和正确的防火墙策略是一个正在进行的过程,需要实时策略监控和更改审计。目标是在发生违反安全策略时及时通知,因此您可以快速行动往往是正确的。此外,防火墙规则清理应该是频繁执行的规定过程。

我们已经听到了现在多年的“防火墙结束”,但事实是,在不断发展的网络安全景观和公司越来越多的下一代架构采用时,防火墙今天比以往任何时候都更加重要。组织无法再承受地毯下扫描防火墙规则清理或忽略正确的防火墙管理提供的许多优势。增强防火墙性能,降低了策略和配置变更时出错的风险,增加了安全姿势,更强烈的遵守界定的政策和行业规定,以及您的指尖的成本效益,您只需要消除杂乱和整理您的防火墙策略获取隐藏的奖励。

分享这个